Perkembangan teknik social engineering kembali menunjukkan eskalasi serius setelah Microsoft mengungkap varian baru dari taktik ClickFix yang kini memanfaatkan Domain Name System sebagai kanal staging. Dalam skema ini, korban ditipu untuk menjalankan perintah melalui Windows Run dialog yang memicu eksekusi nslookup terhadap server DNS eksternal yang telah dikendalikan penyerang. Alih alih menggunakan resolver default sistem, perintah tersebut diarahkan ke infrastruktur khusus sehingga respons DNS yang diterima berisi payload tahap kedua yang kemudian dieksekusi secara langsung.
ClickFix bukan teknik baru. Dalam dua tahun terakhir, metode ini berkembang pesat melalui phishing, malvertising, dan drive by download yang mengarahkan korban ke halaman CAPTCHA palsu atau instruksi troubleshooting fiktif. Keunggulan teknik ini terletak pada eksploitasi procedural trust karena korban secara sukarela menjalankan perintah berbahaya sehingga kontrol keamanan tradisional dapat dilewati tanpa eksploitasi kerentanan teknis. Variasi seperti FileFix, JackFix, ConsentFix, CrashFix, dan GlitchFix lahir dari pola dasar yang sama, yaitu memanfaatkan legitimasi semu untuk memicu eksekusi kode arbitrer.
Dalam varian terbaru yang diidentifikasi oleh Microsoft Threat Intelligence, perintah awal dijalankan melalui cmd.exe dan melakukan lookup terhadap server DNS eksternal yang telah di hardcode. Output DNS kemudian difilter untuk mengekstrak field Name yang berisi instruksi tahap kedua. Pendekatan ini menjadikan DNS sebagai saluran komunikasi ringan yang mengurangi ketergantungan pada permintaan web konvensional dan membantu aktivitas berbahaya berbaur dengan trafik jaringan normal. Teknik ini juga memungkinkan penyerang menambahkan lapisan validasi tambahan sebelum payload utama dieksekusi.
Rantai serangan berikutnya mengarah pada pengunduhan arsip ZIP dari server eksternal seperti azwsappdev[.]com. Dari dalam arsip tersebut, skrip Python berbahaya diekstrak untuk melakukan reconnaissance, menjalankan discovery command, serta menjatuhkan VBScript yang bertugas meluncurkan ModeloRAT, remote access trojan berbasis Python yang sebelumnya disebarkan melalui varian CrashFix. Untuk mempertahankan persistensi, malware membuat file shortcut LNK di folder Startup Windows yang menunjuk ke VBScript, memastikan eksekusi otomatis setiap kali sistem dinyalakan.
Gelombang serangan ini juga berkaitan dengan peningkatan aktivitas Lumma Stealer yang diungkap oleh Bitdefender. Dalam banyak kampanye, ClickFix bergaya CAPTCHA palsu digunakan untuk menyebarkan CastleLoader versi AutoIt yang dikaitkan dengan aktor ancaman GrayBravo. Loader ini melakukan pemeriksaan terhadap lingkungan virtualisasi dan perangkat lunak keamanan sebelum mendekripsi dan mengeksekusi malware pencuri data langsung di memori. Selain ClickFix, situs crack software dan film bajakan dijadikan umpan untuk mendistribusikan installer palsu atau file yang menyamar sebagai media MP4.
CastleLoader juga memanfaatkan installer NSIS palsu yang menjalankan skrip VBA ter obfuscasi sebelum akhirnya memuat Lumma Stealer. Skrip VBA tersebut membuat scheduled task guna mempertahankan persistensi. Salah satu domain infrastruktur CastleLoader bahkan terdeteksi sebagai command and control Lumma Stealer, mengindikasikan kemungkinan kolaborasi atau penggunaan penyedia layanan yang sama di antara operator malware tersebut. Infeksi Lumma Stealer tercatat dominan di India, disusul Prancis, Amerika Serikat, Spanyol, Jerman, Brasil, Meksiko, Rumania, Italia, dan Kanada.
Selain CastleLoader, RenEngine Loader dan Hijack Loader juga teridentifikasi sebagai vektor distribusi Lumma Stealer, sering kali disamarkan sebagai cheat game atau software bajakan seperti CorelDRAW. Data dari Kaspersky menunjukkan bahwa sejak Maret 2025, serangan RenEngine terutama menyasar pengguna di Rusia, Brasil, Turki, Spanyol, Jerman, Meksiko, Aljazair, Mesir, Italia, dan Prancis.
Target serangan tidak lagi terbatas pada Windows. Ekosistem macOS kini menjadi fokus utama, khususnya dalam konteks pencurian kripto. Kampanye terbaru menyebarkan Odyssey Stealer, rebranding dari Poseidon Stealer yang merupakan fork dari Atomic macOS Stealer, untuk mengekstraksi kredensial dari ratusan ekstensi wallet browser dan puluhan aplikasi desktop wallet. Malware ini juga berfungsi sebagai remote access trojan lengkap dengan LaunchDaemon persisten yang melakukan polling ke server kendali setiap enam puluh detik serta mendukung eksekusi shell arbitrer dan proxy SOCKS5.
Teknik distribusi semakin agresif. Penyerang memanfaatkan fitur berbagi publik layanan AI generatif seperti Anthropic Claude untuk menayangkan instruksi ClickFix berbahaya yang kemudian dipromosikan melalui iklan di Google Ads. Dalam beberapa kasus, pengguna diarahkan ke halaman asli claude.ai sehingga kombinasi domain tepercaya dan instruksi teknis membuat skema ini sangat efektif. Platform lain seperti Evernote juga dimanfaatkan sebagai media staging.
Kampanye lain memanfaatkan domain lama dengan reputasi historis yang tampak sah guna menghindari deteksi. Teknik EtherHiding bahkan digunakan untuk mengeksekusi kontrak pada BNB Smart Chain dan mengambil payload dari GitHub sehingga trafik berbahaya tersamarkan sebagai aktivitas Web3 normal. Karena blockchain bersifat immutable dan terdesentralisasi, pendekatan ini meningkatkan ketahanan terhadap upaya takedown.
Laporan dari Darktrace menyoroti taktik lain di macOS, di mana malware memalsukan otorisasi TCC untuk binary Apple resmi seperti Terminal dan osascript lalu mengeksekusi aksi berbahaya melalui proses tepercaya tersebut. Sementara itu, Flare mencatat bahwa lebih dari seratus ekstensi kripto Chrome menjadi target utama stealer macOS dengan beberapa aktor memperoleh signature developer Apple yang valid untuk melewati proteksi Gatekeeper.
Realitas ekonomi mendorong fokus ini. Pengguna kripto cenderung menggunakan Mac dan menyimpan nilai signifikan dalam software wallet. Berbeda dengan rekening bank, transaksi kripto bersifat irreversible sehingga ketika seed phrase bocor, dana hilang permanen tanpa mekanisme pemulihan. Asumsi lama bahwa Mac tidak terkena virus bukan hanya usang, tetapi berbahaya. Organisasi dengan pengguna macOS memerlukan kapabilitas deteksi spesifik termasuk monitoring aplikasi unsigned yang meminta kata sandi, aktivitas Terminal abnormal, koneksi tidak wajar ke node blockchain, serta pola eksfiltrasi data yang menargetkan Keychain dan penyimpanan browser.
Evolusi ClickFix memperlihatkan bahwa lanskap ancaman modern tidak lagi bertumpu pada eksploitasi kerentanan teknis semata, melainkan pada manipulasi kepercayaan prosedural dan penyalahgunaan ekosistem digital yang sah. Integrasi DNS staging, loader modular, infrastruktur blockchain, serta pemanfaatan platform tepercaya menunjukkan bahwa strategi pertahanan harus berfokus pada deteksi perilaku dan threat hunting proaktif, bukan sekadar pendekatan berbasis signature.
